Honeyd

Honeyd — це невеликий демон, що створює віртуальні хости в мережі, які можуть бути налаштовані для запуску довільних завдань в певних операційних системах. Honeyd дозволяє окремому хосту отримувати декілька адрес по локальній мережі для мережевої імітації, а також підвищує інформаційну безпеку, надаючи механізми для виявлення та оцінки загроз, стримує супротивників, приховуючи реальні системи в середині віртуальних систем.

Honeyd отримав свою назву завдяки здатності бути використаним як приманка Honeypot.

Механізми дії

Основною метою використання Honeyd є виявлення неавторизованої діяльності всередині локальної мережі організації. Honeyd спостерігає за всіма невживаними IP-адресами, при цьому будь-яка спроба під'єднання до такого IP-адресу розглядається як неавторизована або зловмисна активність. Тому, коли відбувається спроба підключення до одного з них, Honeyd автоматично визначає приналежність невживаної IP-адреси, і починає досліджувати зломщика.

Цей підхід до виявлення має кілька переваг порівняно з традиційними методами:

  1. Honeyd легко встановлювати і обслуговувати;
  2. Honeyd виявляє не тільки відомі атаки, але також невідомі;
  3. Honeyd видає сигнал тривоги тільки в разі реальної атаки, ймовірність помилкового сигналу зведена до мінімуму.

Honeyd також надає і таку можливість Нoneypot як емулювання операційної системи на рівні ядра. Внаслідок того, що зломщики часто віддалено визначають тип операційної системи, використовуючи такі утиліти, як Nmap або Xprobe, а Honeyd використовує базу відбитків утиліти Nmap, то можлива і підробка відповідей будь-якої операційної системи, яку необхідно емулювати. Ця здатність Honeyd використовується для дослідження спроб злому систем.

Підсистема віртуалізації

Honeyd підтримує задачі віртуалізації, виконуючи додатки Unix як підсистем віртуального простору IP-адрес у вже налагодженій пастці Honeypot. Це дозволяє будь-якому мережному додатку динамічно пов'язувати порти, створювати TCP і UDP з'єднання, використовуючи віртуальну IP-адресу. Підсистеми перехоплюють мережеві запити і перенаправляють їх в Honeyd. Додатковою перевагою такого підходу є можливість розстановки приманок для створення фонового трафіку, наприклад, запит веб-сторінок і читання електронної пошти і т.і.

WinHoneyd

WinHoneyd заснована на Honeyd версії для Unix/Linux Platform, розробленої Niels Provos. WinHoneyd здатна моделювати великі мережеві структури з різними операційними системами на одному хості.

Джерела

  • Галатенко В. А. Стандарти інформаційної безпеки. — М .: Інтернет-університет інформаційних технологій, 2006. — 264 с.
  • Щербаков А. Ю. Сучасна комп'ютерна безпека. Теоретичні основи. Практичні аспекти. — М: Книжковий світ, 2009. — 352 с.
  • Niels Provos, Thorsten Holz. Virtual Honeypots: From Botnet Tracking to Intrusion Detection (Paperback). — 2007 с.

Посилання

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.